適用於端點的 Microsoft Defender 用戶端分析器 (MDECA) 在診斷執行 Windows、Linux 或 macOS 的已上線裝置上的感測器健康情況或可靠性問題時非常有用。 例如,您可能想要在根據安全入口網站中顯示的 感應器健全狀況 狀態 (非作用中、無感應器資料或通訊受損) ,在似乎狀況不良的電腦上執行分析器。
除了明顯的感測器健康情況問題外,MDECA 還可以收集其他追蹤、日誌和診斷資訊,以對複雜案例進行故障排除,例如:
- 應用程式相容性 (AppCompat) 、效能、網路連線或
- 與 端點資料外洩防護相關的非預期行為。
在執行 Windows、Linux 或 macOS 的裝置上使用用戶端分析器
提示
觀看此影片以取得用戶端分析器的概觀: 適用於端點的 Defender 用戶端分析器概觀
隱私權聲明
Microsoft客戶支援服務 (CSS) 定期使用 適用於端點的 Microsoft Defender 用戶端分析器工具來收集資訊,以協助疑難排解您在使用適用於端點的 Microsoft Defender時可能遇到的問題。
收集的資料可能包含個人識別資訊 (PII) 和/或敏感資料,例如 (但不限於) IP 位址、PC 名稱和使用者名稱。
資料收集完成後,該工具會將資料儲存在機器上的本機子資料夾和壓縮的 zip 檔案中。
不會自動將任何資料傳送至 Microsoft。 如果您在協作解決支援問題期間使用該工具,系統可能會要求您使用安全檔案交換將壓縮資料傳送至 Microsoft CSS,以協助調查問題。
如需安全檔案交換的詳細資訊,請參閱如何使用安全檔案交換與 Microsoft 支援服務 交換檔案
如需隱私權聲明的詳細資訊,請參閱 Microsoft 隱私權聲明。
需求
在執行分析器之前,建議您確定您的 Proxy 或防火牆設定允許存取適用於端點的 Microsoft Defender 服務 URL。
分析器可以在支援的 Windows、Linux 或 macOS 版本上執行,無論是在上線之前還是之後適用於端點的 Microsoft Defender。
針對 Windows 裝置,如果您直接在特定計算機上執行分析器,而不是透過 Live Response 遠端執行分析器,則應該允許 SysInternals PsExec.exe 至少暫時 () 執行。 分析器會呼叫 PsExec.exe 工具,以本機系統身分執行雲端連線檢查,並模擬 SENSE 服務的行為。
注意事項
在 Windows 裝置上,如果您使用受攻擊面縮小規則 封鎖源自 PSExec 和 WMI 命令的進程建立,您可能想要暫時 設定 ASR 規則的排除。 或者,您可以將規則設定為 稽核 ,也可以停用規則。 進行這些設定可讓分析器執行與雲端的連線檢查,而不會遭到封鎖。
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。